最近的调查结果揭示了广泛认可的 Libbitcoin Explorer (bx) 加密货币钱包工具中存在一个重大漏洞。
如果您曾经通过此软件生成过钱包或遵循《掌握比特币》一书的指导,那么您的数字资产可能处于危险之中,甚至更糟,已经被盗。
灾难性的加密钱包漏洞
该漏洞被指定为CVE-2023-39910 ,揭示了负责新加密钱包私钥熵生成的 bx Seed 子命令中的灾难性弱点。令人震惊的是,人们发现 Libbitcoin Explorer 3.x 版本采用了 Mersenne Twister 伪随机数生成器(PRNG),该生成器使用 32 位系统时间进行初始化。
因此,该软件不是为每个用户创建唯一且安全的密码,而是偶尔生成相同的密码。恶意行为者已经发现了这一弱点,并开始从毫无戒心的用户钱包中抽走资金。
要了解有关加密钱包安全功能的更多信息,请查看我们的多重签名钱包指南:什么是多重签名钱包以及它们如何工作?
值得强调的是,该漏洞的危险性在于密码数字的生成不良。通常,安全的密码系统需要大量且不可预测的数字。使用脆弱的随机数生成器,加密实际上变得毫无用处。
因此,钱包的安全性并没有达到 128 位、192 位或 256 位等强大水平,而是降至微薄的 32 位。
虽然 4,294,967,296 (2^32) 个独特的组合听起来可能很大,但对于现代计算机来说,破解它并不需要太多工作。随着当前计算技术的进步,标准游戏 PC 可以在 24 小时内搜索到这些组合。
尽管有多种变体需要测试,但时间框架仍然短得惊人。当攻击者随后可以完全控制自己的资金、检查以前的钱包交易甚至签署消息时,尤其如此。
现代计算机破解密码需要多长时间。资料来源: 响应 IT
保护你自己
这个错误带来了令人不寒而栗的现实。无论您如何安全地存储钱包凭据(无论是数字方式还是作为 实体银行金库中的纸钱包),您的资产都容易被盗。记录显示,这些恶意攻击在 2023 年 7 月 12 日左右达到顶峰。其他迹象表明,最初的攻击早在 2023 年 5 月就开始了。
加密货币社区的知名人士表达了担忧。 币安首席执行官赵长鹏表示,
“自我托管钱包并非没有风险。如果你知道自己在做什么,我支持自我监护。留下#SAFU!”
他进一步强调了漏洞的症结,并提到:
“该漏洞是由于使用 32 位种子的随机数生成器造成的,该随机数生成器对于 GPU 等现代破解来说不够随机。 Trustwallet 和币安钱包不使用它来生成助记词。”
Libbitcoin Explorer 的崩溃严厉提醒我们,虽然金融和资产托管的新时代提供了许多新机遇,但它也带来了巨大的风险。对于任何使用加密货币的人来说,确保使用可信工具并随时了解潜在漏洞的最新信息非常重要。
免责声明
遵循信托项目指南, BeInCrypto致力于公正、透明的报告。本新闻文章旨在提供准确、及时的信息。不过,建议读者在根据本文内容做出任何决定之前独立核实事实并咨询专业人士。本文最初由先进的人工智能编写,旨在从广泛的来源中提取、分析和组织信息。它的运作没有个人信仰、情感或偏见,提供以数据为中心的内容。为了确保其相关性、准确性并遵守 BeInCrypto 的编辑标准,一位人工编辑仔细审查、编辑并批准了该文章的出版。
